важный

Важный, да. Но повторю, в большие операторы они даже не пытаются лезть.

Ну почему? как CE активно используется

Ну почему? как CE активно используется

речь шла про брендирование CPE и многогигабитный нат

Ну почему? как CE активно используется

CE/PE

Я думаю что 1072 может вполне многогигабитный НАТ

8-10G? ORLY?

супермикра выйдет дешевле

8-10G? ORLY?

не знаю как нат но тесты на трафике 10Г как PE mpls вполне успешно

Тогда почему не появилось продолжение? Почему не появилось брендирование? Почему TR-69 реализация явно не ориентирована на ее использование. Как ни странно в dlink dir 615 нотация TR-69 может больше чем у микротов. Хорошо говорить отех операторах кто ставит абонентам железо и забивает на него. А вот если им надо управлять то без TR 69 управлять 20-30 тыс роутеров ой как не просто.

Ну почему? как CE активно используется

супермикра выйдет дешевле

За год на электричестве выйдет дороже

Что вы так к брендированию прикопались?

без него CE не может быть полноценным

8-10G? ORLY?

При 25 файрвольных правилах до 52Гбит. Смотрите спеки

Что вы понимаете под брендированием?

При 25 файрвольных правилах до 52Гбит. Смотрите спеки

Это не нат

коробка + прошивка под тебя

У микротика можно создавать Branding Package

Это не нат

NAT дешевле обходится

При 25 файрвольных правилах до 52Гбит. Смотрите спеки

на чистом рутинге - да. В остальном - как показывает опыт знакомых, с коробок нат очень быстро переносят на тазики, пусть даже с RouterOS

NAT дешевле обходится

Пруф. Мои знания о механиках обработки заголовков и практика говорят обратное

на чистом рутинге - да. В остальном - как показывает опыт знакомых, с коробок нат очень быстро переносят на тазики, пусть даже с RouterOS

Поддержу

НАТ у микрота сидит в коннекшн трекер. И файрвол обрабатывает только первый пакет

За год на электричестве выйдет дороже

А простой + работа инженеров?

При 25 файрвольных правилах до 52Гбит. Смотрите спеки

по спекам сск 1072 как циска аср за в 20 раз дороже, а на практике нет

На практике CCR надо вдумчиво конфигурить

Тогда почему не появилось продолжение? Почему не появилось брендирование? Почему TR-69 реализация явно не ориентирована на ее использование. Как ни странно в dlink dir 615 нотация TR-69 может больше чем у микротов. Хорошо говорить отех операторах кто ставит абонентам железо и забивает на него. А вот если им надо управлять то без TR 69 управлять 20-30 тыс роутеров ой как не просто.

Вы пофлудить хотите, или реально думаете, что здесь есть кто-то из Микротика?

НАТ у микрота сидит в коннекшн трекер. И файрвол обрабатывает только первый пакет

Всмысле первый? Нат вынужден обрабатывать каждый пакет

Нет. ПР

правило файрвола только первый берет. А дальше все делает трекер.

\В том числе фасттрак

И если 2011 может протащить полгигабита в НАТ, то странно ожидать что 1072 не протащит десятку Гб

правило файрвола только первый берет. А дальше все делает трекер.

Илья, какая часть микротика выполняет эту функцию с точки зрения железа?

CPU

CPU

ну как бы вокруг этого я строю свои догадки

И если 2011 может протащить полгигабита в НАТ, то странно ожидать что 1072 не протащит десятку Гб

покажите пруф плиз

И если 2011 может протащить полгигабита в НАТ, то странно ожидать что 1072 не протащит десятку Гб

верю что может, но вангую 95% лоад CPU

На практике CCR надо вдумчиво конфигурить

на практике с микротом вылезает оч. много нюансов, причём зачастую на пустом месте. Можете на НАГе почитать ветку по микротам. Особенно, когда трафик переваливает за n гиг и CPU load за 50%

на практике с микротом вылезает оч. много нюансов, причём зачастую на пустом месте. Можете на НАГе почитать ветку по микротам. Особенно, когда трафик переваливает за n гиг и CPU load за 50%

Соберите стенд да проверьте

И если 2011 может протащить полгигабита в НАТ, то странно ожидать что 1072 не протащит десятку Гб

как вы сравнили две абсолютно разные архитектуры то?

Я вам про бой, а вы мне про стенд

CCR оч. сырой как архитектура. Тот же ROS на x86 гораздо стабильнее. но какой толк от ROS на тазике, если нужен только нат?

Я выразил мнение, как мне кажется правильное. За 5 лет опыта с микротами (более 200 штук я уже поставил их в разных конторах) я ожидал больше от этих железок в их развитии. С учетом официального чата возможно кто-то до кого-то донесет эту информацию и возможно у кого-то зородится правильная мысль. Чем не попытка.

Вы пофлудить хотите, или реально думаете, что здесь есть кто-то из Микротика?

на практике с микротом вылезает оч. много нюансов, причём зачастую на пустом месте. Можете на НАГе почитать ветку по микротам. Особенно, когда трафик переваливает за n гиг и CPU load за 50%

Поддержу. Бывает.

ну да, let's encrypt вполне решает

А нет ли случайно рабочего скрипта с автообновлением сертификатов оттуда?)

Есть плейбук для ансибла

Как будет время, выложу в блоге

CCR оч. сырой как архитектура. Тот же ROS на x86 гораздо стабильнее. но какой толк от ROS на тазике, если нужен только нат?

Тоже возможно. Но альтернатив очин черт нету.

верю что может, но вангую 95% лоад CPU

65-80. Буду дома - дам пруфы)

Я выразил мнение, как мне кажется правильное. За 5 лет опыта с микротами (более 200 штук я уже поставил их в разных конторах) я ожидал больше от этих железок в их развитии. С учетом официального чата возможно кто-то до кого-то донесет эту информацию и возможно у кого-то зородится правильная мысль. Чем не попытка.

Для донесения информации есть форум, почта и MUM.

Тоже возможно. Но альтернатив очин черт нету.

альтернатив для какой задачи?

альтернатив для какой задачи?

Ну например для ценрального маршрутизатора небольшой компании. Циска и джанипер сразу сильно дороже.

бу циска будет как минимум не дороже чем ццр

вопрос правда какой ццрэ

и какая циска

Вопрос рабты с б/у он весьма специфичный.

Даже с точки зрения проекта. CCR он всегда на складе, а б/у еще искать надо

Ну например для ценрального маршрутизатора небольшой компании. Циска и джанипер сразу сильно дороже.

Ну если нужен голый роутинг, а тем паче телефония - то я за циску. Чисто за счёт того, что можно сделать всё в рамках коробки. Если есть какие-то специфические задачи - да, микрот, но как я и говорил, сохо и малый/средний бизнес - это как раз поляна микрота

И небольшие ISP туда же. И в первую очередь потому что у большого энтерпрайз другие игры с финансами.

Даже с точки зрения проекта. CCR он всегда на складе, а б/у еще искать надо

в наге

И небольшие ISP туда же. И в первую очередь потому что у большого энтерпрайз другие игры с финансами.

ну да, эти тоже

в наге

Предположим мне ЗАВТРА нужна специфическая железка. Пусть 6-тонник с конкретными модулями.

Понимаешь разницу между "это есть" и "это можно заказать и когда-нибудь купить" ?

как будто вам микротик кто то прям завтра привезёт

три раза ха

Я его в соседнем помещении возьму ))

ERROR: S client not available

Для "прям завтра" есть такая вещь как ЗИП

тот же б/у шеститонник стоит столько, что можно +1 тупо держать на складе

И вы в ЗИП положите 6-тонник в полной набивке?

Я его в соседнем помещении возьму ))

ну я 6тонник возьму в соседнем помещение или например мне джунипер привезет mx104 в сборе на следющий день после обращения , вы то не про это говорили

Еще раз. У больших ребят другие игры. И впрос в других совершенно словах. Например в слове "капитализация". Завтра денег не дадут и будут большие ребята материться, но жрать кактус

Я правильно понимаю что 1:1 nat можно реализовать как dst-nat+src-nat (2 правила, одно изнутри наружу, второе снаружи внутрь), так и netmap (тоже 2 правила)?

ccr 1036 pppoe+nat http://joxi.ru/J2b5G3nTz7kWm6 загрузку цпу у этого устройства по понятным причинам отследить малореально то что "макс" это нагрузка в чнн: http://joxi.ru/nAyXw9ZHK0Za2Z

Еще раз. У больших ребят другие игры. И впрос в других совершенно словах. Например в слове "капитализация". Завтра денег не дадут и будут большие ребята материться, но жрать кактус

А я говорил, что микротик не лезет к большим дядям

Я правильно понимаю что 1:1 nat можно реализовать как dst-nat+src-nat (2 правила, одно изнутри наружу, второе снаружи внутрь), так и netmap (тоже 2 правила)?

только netmap

только netmap

хочешь сказать что через dst-nat + src-nat не заработает?

netmap частный случай src и dst nat

Если один адрес можно и так и так. Если сеть в сеть, то netmap

хочешь сказать что через dst-nat + src-nat не заработает?

ну как бы netmap это и есть реализация NAT 1:1

Если один адрес можно и так и так. Если сеть в сеть, то netmap

да, я про пример когда внутри 1 хост требует 1:1

я просто прост хотел знать заработает ли и так и так

с netmap всё понятно

только netmap

Почему так категорично?

в смысле? Достаточно только netmap (и это правильно by design). связка src-nat + dst-nat заработает, но, как вам уже сказали, только для 1 адреса

ок, это и хотел узнать

Ну если нужно редиректить с 80 порта, проблем нет. А вот если с 443, то эксепшен без вариантов

Так так так, а можно по подробнее, есть веб морда у Mtik по 80 порту, сгенерил сертификат включил сервис www-ssl, а теперь вопрос как сделать так что бы когда ты в браузере вводишь ip mtik'а происходил редирект на 443 порт с веб мордой mtik'а?

"происходил редирект на 443" в смысле чтобы секретарша могла себе вконтактик в конце дня открывать? :)

и не путалась, какой протокол надо указывать для обращения к веб-морде? )

Так так так, а можно по подробнее, есть веб морда у Mtik по 80 порту, сгенерил сертификат включил сервис www-ssl, а теперь вопрос как сделать так что бы когда ты в браузере вводишь ip mtik'а происходил редирект на 443 порт с веб мордой mtik'а?

Не понял. Зачем в браузере открывать ип тика, если вы только не хотите попасть в его админку?

Не понял. Зачем в браузере открывать ип тика, если вы только не хотите попасть в его админку?

Суть в том что бы попасть в админку mtik'a через https, постучавись в 80 порт. Потому как не кошерно заходить в админку по http и светить свои логины и пароли транзитным операторам с dpi. ssh и winbox не предлагать.

боюсь, никак) ну т.е. понятно, включить www-ssl и сделать серт. но вот насчёт принудительного редиректа...

А порты поменять местами не?

Можете просто выключить http-морду

не

Почему?

браузер придет с http на https порт и обломается

ccr 1036 pppoe+nat http://joxi.ru/J2b5G3nTz7kWm6 загрузку цпу у этого устройства по понятным причинам отследить малореально то что "макс" это нагрузка в чнн: http://joxi.ru/nAyXw9ZHK0Za2Z

так что, кто то еще верит что оно качнет 8G?

боюсь, никак) ну т.е. понятно, включить www-ssl и сделать серт. но вот насчёт принудительного редиректа...

Кстати, редирект https на хотспотах - до сих пор проблема проблем?